これについては、この分野の専門家があまり発言されていないのが気になる。「単体でのウイルス対策ソフトは信頼できるのか?」という意味では冒頭にある「ウイルス対策ソフトは死んだ」という発言に近い感覚を持ってしまう。
昨今では特に、(単体としての)パターンテーブルやシグネチャ、時にはヒューリスティックまでがスルーされてしまうウイルスが出てきている状況だ。どんぐりの背比べではないがそういう様相を呈している。
だが、良く考えていただきたい。犯罪者や個人で金儲けを企む連中だって愚かではない。米国の情報では毎年、何百人もの数学者(マスター、ドクターもいる)が犯罪者に雇用されていると言われる。そうしたことをしている犯罪者(と組織)であるだけに、ウイルスに感染させる際にどのウイルス対策ソフトで検知されてしまうのかを調べることくらいは簡単だろうと思われる。
それなら、「高い費用を払ってまでウイルス対策ソフトを導入することはムダ?」と思われるかもしれない。これについてさらに解説する。
読者の多くがご存知と思うが、最近ではネットバンキングでも使われる様々な攻撃(MITB攻撃など)により、ワンタイムパスワードも乱数表も既に破られてしまっている(それでもその他の方法よりは安全だが)。通常の企業サイトを見るだけでも、たまたまそのWebサイトが「ドライブバイダウンロード攻撃」の踏み台になっており、感染させられるケースも後を絶たない。
実は、発見された時には「既に手遅れ」感が強い不正プログラムがある。MBR(マスターブートレコード)型のrootkitや、BIOSボット型のrootkitだ。ウイルス対策メーカー各社は、これらの対応策を次々と打ち出してきているので、企業や個人はそういう情報をきちんと読み取って行動すべきだろう。
最近開催された「情報セキュリティEXPO」ではその対応策が各社から紹介され、とても興味深いものであった。(関連記事)。クラウドを駆使して全世界で対応したり、OSなどが感染する前段階でハードウェアと一体的に察知したりと、様々な取り組みがされている。筆者もこれらの情報が公開され、やっと解説できるようになった。
また日本人の感性にはなじみにくいのだが、セキュリティ対策では「事態が発生しないための防御」だけでなく、「万一の事態に陥った場合の対応」も重要である。速やかに汚染箇所を特定したり、被害を最小化させたりできるようにする。
ログ管理などの検証ルールを速やかに稼働させて、被害レベルを把握し、その他の防御壁に影響を与えない体制と仕組みが大切だと思う。筆者のコンサルティング経験でも、汚染された場合の対応策までは苦手という管理者や経営者が多かった。それではダメな時代になりつつある。
Copyright © ITmedia, Inc. All Rights Reserved.